L’audit GDPR rappresenta lo strumento con il quale il titolare del trattamento dei dati si sottopone a una prova di resistenza per dimostrare di aver risposta adeguatamente al principio di accountability.

Che cos’è un audit

L’audit è un processo di valutazione, solitamente da svolgere periodicamente, finalizzato alla verifica e misurazione del raggiungimento di alcuni criteri prefissati.

Lo standard ISO 19011 in tema di Linee Guida per la conduzione di Audit di Sistema fornisce una guida su come condurre un audit, sui principi, sulla gestione dei programmi di audit e sulla valutazione delle competenze delle persone coinvolte nel processo di audit. Tale norma è applicabile a qualsiasi organizzazione che abbia esigenza di pianificare e condurre audit interni o esterni, compresi audit GDPR.

Le competenze dell’auditor

L’auditor, cioè il valutatore, è la persona che ha le competenze necessarie per effettuare un audit. In caso di audit GDPR, l’auditor GDPR deve essere esperto di tematiche di privacy, sicurezza informatica, informatica forense.

Poichè deve essere imparziale e oggettivo, l’auditor non deve avere responsabilità dirette con l’organizzazione o con l’area interessata dalla valutazione.

I controlli principali di un audit GDPR: la checklist

Ecco alcuni dei principali controlli da esaminare, una sorta di checklist per audit GDPR:

• Progetto GDPR in azienda: verificare se esiste un progetto di adeguamento al GDPR, adeguatamente finanziato, supportato e in grado di raggiungere obiettivi e in quali tempi
• Responsabile della protezione dei dati (DPO): verificare se è obbligatorio nominare un DPO, se è stato integrato in organigramma e se è adeguato al ruolo
• Governance della protezione dei dati: verificare se sono previste e in atto politiche, procedure, controlli di misurazione della performance e controlli per monitorare la conformità
• Gestione dei rischi: verificare che sensibilità c’è in relazione ai rischi connessi alla privacy, se sono stati implementati adeguati piani di recovery e di gestione di data breach
• Analisi dei processi: verificare se sono stati stabiliti, per ogni processi, principi di elaborazione dei dati e se, ove necessario, sono state eseguite delle valutazioni d’impatto (DPIA)
• Sistema di gestione delle informazioni personali: se l’azienda è certificata ISO 9001 probabilmente è un controllo già monitorato, in caso contrario verificare se l’organizzazione documenta adeguatamente i propri processi, compresa formazione del personale
• Sistema di gestione della sicurezza delle informazioni: se l’azienda è certificata ISO 9001 probabilmente è un controllo già monitorato, in caso contrario verificare se l’organizzazione documenta adeguatamente le misure tecniche e organizzative adottate in tema di sicurezza informatica
• Ruoli e responsabilità: verificare definizione di ruoli e responsabilità nell’organizzazione, se le persone sono adeguate e come si organizza la formazione
• Diritti degli interessati: verificare se sono definiti processi per facilitare gli interessati nell’esercizio dei propri diritti e se esiste un processo per fornire loro una risposta